Jak skutečně proběhl útok hackerů a jaká byla obrana

Pavel Tomášek Pavel Tomášek
13. 3. 2013 16:40
Rozhovor s šéfem IT Centrum Holdings Štěpánem Burdou o útoku hackerů na český internet
Štěpán Burda, šéf IT ve firmě Centrum Holdings.
Štěpán Burda, šéf IT ve firmě Centrum Holdings. | Foto: Martin Holcman

Praha - Kybernetický útok hackerů, který minulý týden paralyzoval české zpravodajské servery, největší portál Seznam.cz a posléze i stránky telekomunikačních operátorů a bank, měl zřejmě jinou podobu, než se původně zdálo. Je možné, že útok nebyl až tak distribuovaný.

"Ačkoli to ještě není potvrzeno, čím dál tím víc to vypadá, že šlo o klasický DoS útok, tedy že šel přes jednoho člena sdružení NIX," vysvětluje v rozhovoru pro Aktuálně.cz Štěpán Burda, šéf IT oddělení Centrum Holdings, tedy vydavatele Aktuálně.cz.

V rozhovoru zároveň vysvětluje, jak se služby Centrum Holdings útokům vyhnuly.

Aktuálně.cz: Službám Centrum Holdings se minulý týden vyhnul útok hackerů, kterým byli postiženi ostatní velcí provozovatelé jako Seznam či iDnes. Víte už s odstupem, zda útok na Centrum nesměřoval, nebo jste se mu dokázali ubránit?

Je zřejmé, že jsme nebyli v první vlně útoku. Během pondělního dopoledne jsme přijali některá preventivní opatření. Ta nám ale posléze znemožnila zjistit, jestli na nás někdo nezkoušel směrovat útok například v druhé nebo třetí vlně.

A.cz: Jakou podobu měla ona předběžná opatření, o kterých hovoříte?

Z grafů NIX.cz, které jsou dostupné všem členům sdružení, jsme zjistili, že od jednoho z členů  - RETN - přicházel silně anomální síťový provoz a ten se celý promítal na přípojce Mafry, která byla v té době cílem útoku. Když tam byl pokles, byl pokles i na Mafře. Z toho jsme usoudili, že distributorem útoku mohou být oni. Proto jsme na našich hraničních routerech zablokovali veškerý provoz, který šel od tohoto provozovatele.

A.cz: Jaké mělo toto opatření důsledky?

Uživatelé této sítě se k nám nemohli dostat, a to včetně některých menších poskytovatelů v Česku.

A.cz: Zvažovali jste i další opatření?

Další varianta, kterou jsme měli připravenou, bylo odříznutí veškeré návštěvnosti ze zahraničí.  Je to běžná věc, která se v takových situacích dělá. V tomto případě by to ale pravděpodobně bylo k ničemu.

A.cz: Proč?

RETN je členem sdružení NIX, jeho provoz je tak brán jako "český". V tomto případě fungoval pouze jako přenašeč návštěvnosti.  Disponuje nějakým pevným připojením do zahraničí, pravděpodobně Ruska. Oni sami zřejmě nebyli původce útoku. Nikdo to ale zatím neví najisto.

A.cz: Šlo skutečně o takzvaný DDoS útok, tedy distribuovanou verzi tohoto kybernetického útoku?

Ačkoli to ještě není potvrzeno, čím dál tím víc to vypadá, že šlo - zvláště v první fázi - o klasický DoS útok, tedy že šel přes jednoho člena sdružení NIX. Takovýto jednoduchý, byť brutální útok se dá naštěstí relativně účinně blokovat. Proti distribuovanému DoS by se skutečně nedalo prakticky nijak bránit. S jedinou výjimkou: musíte mít mnohem větší síťovou a výpočetní kapacitu než útočník, což se málokomu vyplatí.

A.cz: Jsou v tomto hráči na trhu v nerovném postavení?

Hackerský útok tohoto typu se většinou ani nedostane na samotné servery provozovatelů služeb, ale většinou zahltí již firewally a balancery, které pak ani nepředají síťové požadavky dále. Mít infrastrukturu, která toto odbaví, je velmi nákladné. Výhodou, kterou mají členové NIX.cz a velcí poskytovatelé připojení, je, že mají velice rychlé a výkonné routery, které jim navíc umožňují flexibilně blokovat případné útoky ještě dříve, než dorazí do samotné vnitřní sítě. Dokáží tak vlastně zahodit návštěvnost od jednoho zdroje, jako tomu bylo v případě RETN. Menší poskytovatelé jsou vydáni napospas, že to za ně udělá jejich ISP nebo poskytovatel hostingu. 

A.cz: Hackeři při těchto útocích používají podvržené IP adresy, jak se tedy mohl zásah proti RETN podařit?

RETN si můžete představit jako trubku, kterou jde určité množství návštěvnosti, a je jedno, z jaké IP adresy. Když vidím, že může jít o potenciální zdroj útoku, zaslepím tuto trubku a neřeším, co je za ní, tedy ani IP adresy.  V případě pozdějších fází útoku, kdy byla použita technika "odraženého útoku", bylo třeba zvolit jinou strategii.

A.cz: Hackerskými útoky z minulého týdne se zaobírala i Rada pro kybernetickou bezpečnost státu. Vidíte v této věci pro stát nějakou důležitou roli?

Nevidím. Stát by si měl chránit svoje systémy, měl by být aktivní, když je napadena státní infrastruktura. Tady je důležitá role CSIRT.cz, což je bezpečnostní sdružení provozovatelů internetových sítí. Mělo by sloužit jako neutrální půda pro hráče na trhu, poskytovat informace a koordinovat případný zásah.

A.cz: Splnilo v tomto sdružení svůj úkol?

Nemyslím, že kompletně selhalo, což jsou názory, které se také objevují. Selhalo ale v proaktivní komunikaci. Dařilo se jim koordinovat komunikaci útokem zasažených provozovatelů, informace už se ale špatně dostávaly k dalším potenciálním cílům útoků. I proto byly tyto útoky v dalších dnech úspěšné.

 

Právě se děje

Další zprávy